AWSPolíticas administradas de Amazon SageMaker - Amazon SageMaker

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSPolíticas administradas de Amazon SageMaker

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas por AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas por AWS, consulte Políticas administradas por AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas por AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada por AWS para admitir características nuevas. Esta tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) a los que está conectada la política. Es más probable que los servicios actualicen una política administrada por AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, laReadOnlyAccess AWSLa política administrada proporciona acceso de solo lectura a todosAWSservicios y recursos de. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

importante

Le recomendamos que utilice la política más restringida que le permite realizar su caso de uso.

Los siguientes ejemplos deAWSLas políticas administradas por, que puede asociar a los usuarios de su cuenta, son específicas de Amazon SageMaker:

  • AmazonSageMakerFullAccess: concede acceso total a Amazon SageMaker recursos y operaciones compatibles. Esta no proporciona acceso ilimitado a Amazon S3, pero admite bucket y objetos consagemakeretiquetas. Esta política permite que todos los roles de IAM se transfieran a Amazon SageMaker, pero solo permite que los roles de IAM con «AmazonSageMaker» se pasen alAWS Glue,AWS Step Functions, yAWS RoboMaker Servicios de .

  • AmazonSageMakerReadOnly: concede acceso de solo lectura a Amazon SageMaker de AWS.

Los siguientes ejemplos deAWSLas políticas administradas se pueden asociar a los usuarios de su cuenta pero no se recomiendan:

  • AdministratorAccess— Otorga todas las acciones para todosAWSservicios y para todos los recursos de la cuenta.

  • DataScientist: concede una amplia gama de permisos para cubrir la mayoría de los casos de uso (principalmente para la inteligencia empresarial y el análisis) que detectan los científicos de datos.

Para consultar estas políticas de permisos, inicie sesión en la consola de IAM y búsquelas.

También puede crear sus propias políticas de IAM personalizadas para conceder permisos para acciones y recursos de Amazon SageMaker según los necesite. Puede asociar estas políticas personalizadas a los usuarios o grupos de IAM que las requieran.

AmazonSageMakerFullAccess

Esta política otorga permisos administrativos que brindan a un principal acceso completo a todos los Amazon. SageMaker recursos y operaciones. La política también proporciona acceso selecto a los servicios relacionados. Esta política permite que todos los roles de IAM se transfieran a Amazon SageMaker, pero solo permite que los roles de IAM con «AmazonSageMaker» se pasen alAWS Glue,AWS Step Functions, yAWS RoboMaker Servicios de . Esta política no incluye permisos para crear un Amazon SageMaker dominio. Para obtener información sobre la política necesaria para crear un dominio, consulteCrear un usuario administrador de IAM y un grupo .

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

  • application-autoscaling— Permite a los directores escalar automáticamente un SageMaker punto de enlace de inferencia en tiempo real.

  • athena— Permite a los directores consultar una lista de catálogos de datos, bases de datos y metadatos de tablas desdeAmazon Athena.

  • aws-marketplace— Permite a los directores verAWSSuscripciones de AI Marketplace. Lo necesitas si quieres acceder al software de SageMaker suscrito enAWS Marketplace.

  • cloudformation— Permite a los directores obtenerAWS CloudFormationplantillas para usar SageMaker Soluciones JumpStart y canalizaciones. SageMaker JumpStart crea los recursos necesarios para ejecutar end-to-end soluciones de aprendizaje automático que vinculan SageMaker a otrosAWSServicios de . SageMaker Pipelines crea nuevos proyectos respaldados porAWS Service Catalog.

  • cloudwatch— Permite a los directores publicar CloudWatch métricas, interactuar con alarmas y cargar registros en CloudWatch Inicia sesión en tu cuenta.

  • codebuild— Permite a los directores almacenarAWS CodeBuildartefactos para SageMaker Pipeline y proyectos.

  • codecommit— Necesario paraAWS CodeCommitintegración con instancias de bloc de notas SageMaker.

  • cognito-idp— Necesario para Amazon SageMaker Ground Truth para definir personal privado y equipos de trabajo.

  • ec2— Necesario para SageMaker para administrar los recursos y las interfaces de red de Amazon EC2 cuando especifica una Amazon VPC para su SageMaker trabajos, modelos, extremos e instancias de bloc de notas.

  • ecr— Se necesita para extraer y almacenar artefactos de Docker para Amazon SageMaker Studio (imágenes personalizadas), formación, procesamiento, inferencia por lotes y puntos finales de inferencia. Esto también es necesario para utilizar su propio contenedor en SageMaker. Permisos adicionales para SageMaker Las soluciones JumpStart son necesarias para crear y eliminar imágenes personalizadas en nombre de los usuarios.

  • elastic-inference— Permite a los directores conectarse a Amazon Elastic Inference para usar SageMaker instancias de bloc de notas y extremos.

  • elasticfilesystem: permite a los directores de acceder a Amazon Elastic File System. Necesario para SageMaker para utilizar fuentes de datos en Amazon Elastic File System para capacitar modelos de aprendizaje automático.

  • fsx— Permite a los directores acceder a Amazon FSx. Necesario para SageMaker para utilizar fuentes de datos en Amazon FSx para capacitar modelos de aprendizaje automático.

  • glue— Se necesita para el procesamiento previo de canalizaciones de inferencia desde dentro SageMaker instancia con bloc de notas

  • groundtruthlabeling— Se necesita para trabajos de etiquetado Ground Truth. LagroundtruthlabelingLa consola de Ground Truth accede al punto de enlace.

  • iam— Necesario para dar el SageMaker acceso a roles de IAM disponibles y cree roles vinculados a servicios.

  • kms— Necesario para dar el SageMaker acceso a la consola disponibleAWS KMSclaves y recuperarlas para cualquier especificaciónAWS KMSalias en trabajos y puntos finales.

  • lambda— Permite a los directores invocar y obtener una lista deAWS LambdaFunciones de .

  • logs— Necesario para permitir SageMaker trabajos y puntos de enlace para publicar flujos de registros.

  • redshift: permite a los directores acceder a las credenciales de clúster de Amazon Redshift.

  • redshift-data— Permite a los directores utilizar datos de Amazon Redshift para ejecutar, describir y cancelar declaraciones; obtener resultados de extractos y enumerar esquemas y tablas.

  • robomaker— Permite a los directores tener acceso completo para crear, obtener descripciones y eliminarAWS RoboMaker aplicaciones y trabajos de simulación. Esto también es necesario para ejecutar ejemplos de aprendizaje de refuerzo en instancias de portátiles.

  • s3— Permite a los directores tener acceso completo a los recursos de Amazon S3 relacionados con SageMaker, pero no a todos Amazon S3.

  • secretsmanager— Permite a los directores tener acceso completo aAWS Secrets Manager. Los directores de pueden cifrar, almacenar y recuperar de forma segura las credenciales de las bases de datos y otros servicios. Esto también es necesario para SageMaker instancias de bloc de SageMaker repositorios de código que utilizan GitHub.

  • servicecatalog— Permite que los directores utilicenAWS Service Catalog. Los directores pueden crear, obtener una lista, actualizar o finalizar productos aprovisionados, tales como servidores, bases de datos, sitios web o aplicaciones implementadas medianteAWSde AWS. Necesario para SageMaker JumpStart y Projects para buscar y leer productos de catálogo de servicios y lanzarAWSrecursos en cuentas de usuario.

  • sns: permite a las entidades principales obtener una lista de temas de Amazon SNS. Esto es necesario para los endpoints con inferencia asíncrona habilitada para notificar a los usuarios que su inferencia se ha completado.

  • states— Necesario para SageMaker JumpStart y Pipelines para utilizar un catálogo de servicios para crear recursos de funciones de pasos.

  • tag— Necesario para SageMaker Canalizaciones para renderizar en Studio. Studio necesita recursos etiquetados con particularsagemaker:project-idclave-etiqueta. Para ello se requiere latag:GetResourcespermiso.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:*" ], "NotResource": [ "arn:aws:sagemaker:*:*:domain/*", "arn:aws:sagemaker:*:*:user-profile/*", "arn:aws:sagemaker:*:*:app/*", "arn:aws:sagemaker:*:*:flow-definition/*" ] }, { "Effect": "Allow", "Action": [ "sagemaker:CreatePresignedDomainUrl", "sagemaker:DescribeDomain", "sagemaker:ListDomains", "sagemaker:DescribeUserProfile", "sagemaker:ListUserProfiles", "sagemaker:*App", "sagemaker:ListApps" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sagemaker:*", "Resource": [ "arn:aws:sagemaker:*:*:flow-definition/*" ], "Condition": { "StringEqualsIfExists": { "sagemaker:WorkteamType": [ "private-crowd", "vendor-crowd" ] } } }, { "Effect": "Allow", "Action": [ "application-autoscaling:DeleteScalingPolicy", "application-autoscaling:DeleteScheduledAction", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:PutScalingPolicy", "application-autoscaling:PutScheduledAction", "application-autoscaling:RegisterScalableTarget", "aws-marketplace:ViewSubscriptions", "cloudformation:GetTemplateSummary", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "codecommit:BatchGetRepositories", "codecommit:CreateRepository", "codecommit:GetRepository", "codecommit:List*", "cognito-idp:AdminAddUserToGroup", "cognito-idp:AdminCreateUser", "cognito-idp:AdminDeleteUser", "cognito-idp:AdminDisableUser", "cognito-idp:AdminEnableUser", "cognito-idp:AdminRemoveUserFromGroup", "cognito-idp:CreateGroup", "cognito-idp:CreateUserPool", "cognito-idp:CreateUserPoolClient", "cognito-idp:CreateUserPoolDomain", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:List*", "cognito-idp:UpdateUserPool", "cognito-idp:UpdateUserPoolClient", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:CreateVpcEndpoint", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ecr:BatchCheckLayerAvailability", "ecr:BatchGetImage", "ecr:CreateRepository", "ecr:Describe*", "ecr:GetAuthorizationToken", "ecr:GetDownloadUrlForLayer", "ecr:StartImageScan", "elastic-inference:Connect", "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:DescribeMountTargets", "fsx:DescribeFileSystems", "glue:CreateJob", "glue:DeleteJob", "glue:GetJob*", "glue:GetTable*", "glue:GetWorkflowRun", "glue:ResetJobBookmark", "glue:StartJobRun", "glue:StartWorkflowRun", "glue:UpdateJob", "groundtruthlabeling:*", "iam:ListRoles", "kms:DescribeKey", "kms:ListAliases", "lambda:ListFunctions", "logs:CreateLogDelivery", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:DeleteLogDelivery", "logs:Describe*", "logs:GetLogDelivery", "logs:GetLogEvents", "logs:ListLogDeliveries", "logs:PutLogEvents", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "robomaker:CreateSimulationApplication", "robomaker:DescribeSimulationApplication", "robomaker:DeleteSimulationApplication", "robomaker:CreateSimulationJob", "robomaker:DescribeSimulationJob", "robomaker:CancelSimulationJob", "secretsmanager:ListSecrets", "servicecatalog:Describe*", "servicecatalog:List*", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:SearchProvisionedProducts", "sns:ListTopics", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ecr:SetRepositoryPolicy", "ecr:CompleteLayerUpload", "ecr:BatchDeleteImage", "ecr:UploadLayerPart", "ecr:DeleteRepositoryPolicy", "ecr:InitiateLayerUpload", "ecr:DeleteRepository", "ecr:PutImage" ], "Resource": [ "arn:aws:ecr:*:*:repository/*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "codecommit:GitPull", "codecommit:GitPush" ], "Resource": [ "arn:aws:codecommit:*:*:*sagemaker*", "arn:aws:codecommit:*:*:*SageMaker*", "arn:aws:codecommit:*:*:*Sagemaker*" ] }, { "Action": [ "codebuild:BatchGetBuilds", "codebuild:StartBuild" ], "Resource": [ "arn:aws:codebuild:*:*:project/sagemaker*", "arn:aws:codebuild:*:*:build/*" ], "Effect": "Allow" }, { "Action": [ "states:DescribeExecution", "states:GetExecutionHistory", "states:StartExecution", "states:StopExecution", "states:UpdateStateMachine" ], "Resource": [ "arn:aws:states:*:*:statemachine:*sagemaker*", "arn:aws:states:*:*:execution:*sagemaker*:*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:CreateSecret" ], "Resource": [ "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "servicecatalog:ProvisionProduct" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*", "arn:aws:s3:::*aws-glue*" ] }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "s3:ExistingObjectTag/SageMaker": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject" ], "Resource": "*", "Condition": { "StringEquals": { "s3:ExistingObjectTag/servicecatalog:provisioning": "true" } } }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:GetBucketLocation", "s3:ListBucket", "s3:ListAllMyBuckets", "s3:GetBucketCors", "s3:PutBucketCors" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::*SageMaker*", "arn:aws:s3:::*Sagemaker*", "arn:aws:s3:::*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*SageMaker*", "arn:aws:lambda:*:*:function:*sagemaker*", "arn:aws:lambda:*:*:function:*Sagemaker*", "arn:aws:lambda:*:*:function:*LabelingFunction*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint", "Condition": { "StringLike": { "iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com" } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "robomaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "sns:Subscribe", "sns:CreateTopic", "sns:Publish" ], "Resource": [ "arn:aws:sns:*:*:*SageMaker*", "arn:aws:sns:*:*:*Sagemaker*", "arn:aws:sns:*:*:*sagemaker*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*AmazonSageMaker*", "Condition": { "StringEquals": { "iam:PassedToService": [ "glue.amazonaws.com", "robomaker.amazonaws.com", "states.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringEquals": { "iam:PassedToService": "sagemaker.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "athena:ListDataCatalogs", "athena:ListDatabases", "athena:ListTableMetadata", "athena:GetQueryExecution", "athena:GetQueryResults", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:table/sagemaker_featurestore/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:DeleteTable" ], "Resource": [ "arn:aws:glue:*:*:table/*/sagemaker_tmp_*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:GetDatabases", "glue:GetTable", "glue:GetTables" ], "Resource": [ "arn:aws:glue:*:*:table/*", "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/*" ] }, { "Effect": "Allow", "Action": [ "glue:CreateDatabase", "glue:GetDatabase" ], "Resource": [ "arn:aws:glue:*:*:catalog", "arn:aws:glue:*:*:database/sagemaker_featurestore", "arn:aws:glue:*:*:database/sagemaker_processing", "arn:aws:glue:*:*:database/default", "arn:aws:glue:*:*:database/sagemaker_data_wrangler" ] }, { "Effect": "Allow", "Action": [ "redshift-data:ExecuteStatement", "redshift-data:DescribeStatement", "redshift-data:CancelStatement", "redshift-data:GetStatementResult", "redshift-data:ListSchemas", "redshift-data:ListTables" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "redshift:GetClusterCredentials" ], "Resource": [ "arn:aws:redshift:*:*:dbuser:*/sagemaker_access*", "arn:aws:redshift:*:*:dbname:*" ] } ] }

AmazonSageMakerReadOnly

Esta política concede acceso de solo lectura a Amazon SageMaker medianteAWS Management Consoley SDK de.

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

  • application-autoscaling— Permite a los usuarios navegar por descripciones de escalables SageMaker puntos de enlace de inferencia en tiempo real.

  • aws-marketplace— Permite a los usuarios verAWSSuscripciones de AI Marketplace.

  • cloudwatch— Permite a los usuarios recibir CloudWatch Alarmas de .

  • cognito-idp— Necesario para Amazon SageMaker Ground Truth (Ground Truth) para examinar las descripciones y listas de personal privado y equipos de trabajo.

  • ecr— Es necesario leer artefactos de Docker para la capacitación e inferencia.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:Describe*", "sagemaker:List*", "sagemaker:BatchGetMetrics", "sagemaker:GetDeviceRegistration", "sagemaker:GetDeviceFleetReport", "sagemaker:GetSearchSuggestions", "sagemaker:BatchGetRecord", "sagemaker:GetRecord", "sagemaker:Search", "sagemaker:QueryLineage", "sagemaker:GetLineageGroupPolicy", "sagemaker:BatchDescribeModelPackage", "sagemaker:GetModelPackageGroupPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScheduledActions", "aws-marketplace:ViewSubscriptions", "cloudwatch:DescribeAlarms", "cognito-idp:DescribeUserPool", "cognito-idp:DescribeUserPoolClient", "cognito-idp:ListGroups", "cognito-idp:ListIdentityProviders", "cognito-idp:ListUserPoolClients", "cognito-idp:ListUserPools", "cognito-idp:ListUsers", "cognito-idp:ListUsersInGroup", "ecr:Describe*" ], "Resource": "*" } ] }

Actualizaciones de SageMaker aAWSPolíticas administradas de

Ver detalles sobre las actualizaciones deAWSPolíticas administradas de para SageMaker desde que este servicio comenzó a realizar un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS enHistorial de documentos de SageMaker(Se ha creado el certificado).

Política Versión Cambio Fecha

AmazonSageMakerReadOnly

11

Añadirsagemaker:QueryLineage,sagemaker:GetLineageGroupPolicy,sagemaker:BatchDescribeModelPackage, ysagemaker:GetModelPackageGroupPolicypermisos.

1 de diciembre de 2021

AmazonSageMakerFullAccess

21

Añadirsns:Publishpermisos para endpoints con Inferencia asíncrona habilitada.

8 de septiembre de 2021

AmazonSageMakerFullAccess

20

Actualizacióniam:PassRolerecursos y permisos.

15 de julio de 2021

AmazonSageMakerReadOnly

10

API nuevaBatchGetRecordañadido para SageMaker Tienda de funciones.

10 de junio de 2021

SageMaker comenzó a realizar seguimientos de los cambios paraAWSpolíticas administradas.

1 de junio de 2021